Stratégie de protection des serveurs contre les menaces
La protection contre les menaces assure votre sécurité contre les programmes malveillants, les types de fichiers et sites Web dangereux et le trafic réseau malveillant.
Allez dans Mes produits >Server > Stratégies pour configurer la protection contre les menaces.
Pour configurer une stratégie, procédez comme suit :
- Créez une stratégie Protection contre les menaces. Voir Création ou modification d’une stratégie.
- Ouvrez l’onglet Paramètres de la stratégie et configurez les options comme décrit ci-dessous. Assurez-vous que la stratégie est activée
Vous pouvez soit utiliser les paramètres par défaut, soit les modifier.
Si vous modifiez l’un des paramètres de cette stratégie et que vous souhaitez connaître la valeur par défaut, créez une nouvelle stratégie. Vous n’avez pas besoin de l’enregistrer, mais il affiche les valeurs par défaut.
Remarque
Les SophosLabs surveillent les fichiers qui sont contrôlés de manière indépendante. Ils peuvent ajouter ou supprimer le contrôle de certains types de fichier afin d’assurer une protection optimale.
Paramètres conseillés
Par défaut, la stratégie utilise nos paramètres recommandés.
Ces paramètres sont d’une extrême simplicité à configurer et vous permettent de bénéficier d’une protection optimale. Sont inclus :
- La détection des malwares connus.
- Les vérifications Cloud pour autoriser la détection des malwares les plus récents recensés par Sophos.
- La détection proactive des malwares qui n’ont jamais encore été détectés.
- L’exclusion automatique du contrôle des applications connues.
Si vous utilisez des paramètres non recommandés, des avertissements s’affichent sur la page des paramètres de stratégie.
Procédez avec prudence avant de modifier les paramètres conseillés car cette opération peut affaiblir votre niveau de protection.
Restriction
Vous pouvez utiliser certaines options sur les serveurs Windows uniquement.
Live Protection
Live Protection vérifie la présence de fichiers suspects en consultant la base de données des menaces des SophosLabs. Ceci permet de détecter les menaces les plus récentes et d’éviter les faux positifs. Vous pouvez l’utiliser comme suit :
- Utiliser Sophos Live Protection pour vérifier les informations sur les menaces les plus récentes dans la base de données en ligne des SophosLabs. Cette option vérifie les fichiers au cours du contrôle en temps réel.
-
Utiliser Sophos Live Protection pendant les contrôles planifiés.
Remarque
Sur Linux, les contrôles planifiés utilisent toujours Live Protection que ce paramètre soit activé ou non.
La désactivation de Live Protection réduit votre protection et peut augmenter les risques de faux positifs.
Retrouvez notre base de données des menaces sur le Centre Sophos d’analyse des menaces.
Deep Learning
Le Deep Learning permet de détecter les menaces automatiquement, en particulier les menaces inconnues qui n’ont jamais été observées auparavant. Il utilise le Machine Learning sans avoir à dépendre de signatures.
La désactivation du Deep Learning affaiblit considérablement votre protection.
Contrôle en temps réel - Fichiers locaux et partages réseau
Le contrôle en temps réel détecte les malwares connus lorsque les fichiers sont ouverts et mis à jour. Il empêche l’exécution de malwares connus lorsque des fichiers infectés sont ouverts par des applications légitimes.
Contrôle fournit un contrôle en temps réel des fichiers locaux et distants (fichiers accessibles depuis le réseau) par défaut. Sélectionnez local si vous souhaitez uniquement contrôler des fichiers sur l’appareil.
- À la lecture : Les fichiers seront contrôlés à leur ouverture.
- À l’écriture : Les fichiers seront contrôlés lors de leur enregistrement.
L’option Activer le contrôle pour Server Protection for Linux Agent offre un contrôle temps réel des appareils Linux. Ceci s’applique à Sophos protection for Linux mais pas à l’ancien produit Sophos Anti-Virus. Voir Remédiation.
La désactivation de ces options pourrait permettre l’exécution ou l’accès à un malware connu.
Contrôle en temps réel - Internet
Le contrôle en temps réel contrôle les ressources Internet au moment où les utilisateurs tentent d’y accéder.
Contrôler les téléchargements en cours
Ce paramètre permet de contrôler les téléchargements et les éléments de page avant qu’ils n’atteignent le navigateur.
- Connexions HTTP : Nous contrôlons tous les éléments et téléchargements.
- Connexions HTTPS : Nous ne contrôlons aucun élément, sauf si vous activez Déchiffrer les sites Web HTTPS avec SSL/TLS.
Bloquer l’accès aux sites Web malveillants
Ce paramètre bloque l’accès aux sites Web connus pour héberger des malwares.
Nous vérifions la réputation pour voir si le site est connu pour héberger du contenu malveillant (Recherche SXL4). Si vous désactivez Live Protection, vous désactiverez également cette vérification.
- Connexions HTTP : Toutes les URL sont contrôlées, y compris les requêtes HTTP GET complètes.
- Connexions HTTPS : Seules les URL de base sont contrôlées (SNI). Si vous activez Déchiffrer les sites Web HTTPS avec SSL/TLS, nous contrôlons toutes les URL, y compris les requêtes HTTP GET complètes.
Détecter les téléchargements de réputation douteuse
Ce paramètre vérifie la réputation du téléchargement en fonction de la source du fichier, de sa fréquence de téléchargement, etc. Utilisez les options suivantes pour définir le mode de traitement des téléchargements.
Définissez l’Action à effectuer pour Avertir l’utilisateur : Un avertissement s’affiche lorsque l’utilisateur télécharge un fichier de réputation douteuse. Il peut accepter ou supprimer ce fichier. Il s’agit du paramètre par défaut.
Définissez le Niveau de réputation comme l’une des valeurs suivantes :
- Conseillé : Les fichiers de réputation douteuse sont automatiquement bloqués. Il s’agit du paramètre par défaut.
- Strict : Les téléchargements de réputation moyenne et douteuse sont automatiquement bloqués et signalés à Sophos Central.
Retrouvez plus de renseignements sur Réputation des téléchargements.
Contrôle en temps réel - Options
Exclure automatiquement l’activité des applications connues. Ce paramètre exclut les applications les plus utilisées, conformément aux recommandations de leurs fournisseurs.
Retrouvez plus de renseignements sur Serveur Sophos Central : Produits tiers exclus automatiquement
Remédiation
Les options de remédiation sont les suivantes :
Activer la création du Graphique de menace. Ce paramètre permet de mener une investigation sur la chaîne d’événements d’une attaque de malwares. En l’activant, vous pourrez analyser les attaques que nous avons détectées et arrêtées.
Sophos Central nettoie automatiquement les éléments détectés sur les ordinateurs Windows et les appareils Linux exécutant Sophos Protection for Linux. Sophos Central supprime le fichier de son emplacement actuel et le met en quarantaine dans SafeStore. Les fichiers restent dans SafeStore jusqu’à ce qu’ils soient autorisés ou supprimés pour faire de la place aux nouvelles détections. Vous pouvez restaurer les fichiers mis en quarantaine dans SafeStore en les ajoutant aux Applications autorisées. Voir Applications autorisées.
SafeStore a les limites par défaut suivantes :
- La limite pour un seul fichier est de 100 Go.
- La taille totale de la quarantaine est de 200 Go.
- Le nombre maximum de fichiers stockés est de 2000.
Protection runtime
La protection à l’exécution assure la protection contre les menaces en détectant le comportement ou le trafic suspect ou malveillant.
Protéger les fichiers document contre les ransomwares (CryptoGuard). Ce paramètre permet d’assurer la protection contre les malwares qui bloquent l’accès aux fichiers et demandent une rançon pour les libérer. Il est activé par défaut. Nous vous conseillons de le garder activé.
Vous pouvez également utiliser les options suivantes :
- Protéger contre les ransomwares exécutés à distance. Ce paramètre garantit la protection de tout le réseau. Nous vous conseillons de le garder activé.
- Protéger contre les attaques de Chiffrement des fichiers système. Ce paramètre protège l’ordinateur contre les ransomwares qui chiffrent le système de fichiers. Choisissez l’action à effectuer en cas de détection d’un ransomware. Vous pouvez mettre fin aux processus du ransomware ou l’isoler pour l’empêcher d’écrire dans le système de fichiers.
- Protéger contre les ransomwares d’enregistrement de démarrage principal. Ce paramètre permet de protéger l’appareil contre les ransomwares qui chiffrent l’enregistrement de démarrage principal (et empêchent donc le démarrage) et contre les attaques qui formatent le disque dur.
Protéger les fonctions critiques des navigateurs Web (Navigation sécurisée). Ce paramètre protège vos navigateurs Web contre les tentatives de détournement du navigateur.
Limiter les attaques dans les applications vulnérables. Ce paramètre protège les applications les plus susceptibles d’être attaqués par des malwares. Vous pouvez sélectionner les types d’application à protéger.
Protéger les processus. Cette option empêche tout piratage d’applications légitimes par des malwares. Vous pouvez choisir parmi les options suivantes :
-
Bloquer les attaques contre les processus creux. Celles-ci sont également connues sous le nom de « remplacement de processus » ou injection DLL. Cette technique est généralement utilisée pour injecter du code malveillant dans une application légitime afin d’essayer de contourner le logiciel de sécurité.
La désactivation de ce paramètre permettra à un cybercriminel de contourner plus facilement votre logiciel de sécurité.
-
Bloquer le chargement de DLL à partir de dossiers non fiables. Ce paramètre protège contre le téléchargement de fichiers DLL à partir de dossiers non fiables.
- Empêcher le vol de codes d’accès. empêche le vol des mots de passe et le hachage d’informations à partir de la mémoire, du registre ou du disque dur.
- Empêcher l’utilisation de « Code cave ». Ce paramètre détecte le code malveillant qui a été inséré dans une autre application légitime.
- Empêcher la violation APC. empêche les attaques d’utiliser les appels de procédure d’application (APC ou Application Procedure Calls) pour exécuter leur code.
- Empêcher l’élévation des privilèges. empêche les attaques d’élever les privilèges limités d’un processus à des privilèges lui permettant d’accéder à vos systèmes.
Activer la surveillance d’exécution du CPU. La détection du code malveillant dans le processeur est une fonction des processeurs Intel permettant de suivre l’activité du processeur à des fins de détection. Cette fonction est compatible avec les processeurs Intel sous les architectures suivantes : Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Goldmont, SkyLake, et Kaby Lake. Nous ne prenons pas en charge cette fonction en cas de présence d’un hyperviseur légitime sur l’ordinateur.
Détection dynamique de shellcode. Ce paramètre détecte le comportement des agents de commande et de contrôle cachés et empêche les cybercriminels de prendre le contrôle de vos réseaux.
Valider l’appelant du protocole CTF. Ce paramètre bloque les applications qui tentent d’exploiter une vulnérabilité dans un composant Windows, connu sous le nom de « CTF », présente dans toutes les versions de Windows. La vulnérabilité permet aux cybercriminels, qui ne sont pas administrateurs, de détourner tous les processus Windows, notamment les applications s’exécutant dans une sandbox. Nous vous recommandons d’activer l’option Valider l’appelant du protocole CTF.
Empêcher le chargement des modules non sécurisés. Ce paramètre empêche les applications de télécharger les DLL malveillantes se faisant passer pour des DLL ApiSet Stub. Les DLL ApiSet Stub servent de proxy pour maintenir la compatibilité entre les anciennes applications et les versions plus récentes du système d’exploitation. Les cybercriminels peuvent utiliser des DLL ApiSet Stub malveillantes pour contourner la protection antialtération et désactiver la protection antimalware.
Leur désactivation affaiblira considérablement votre protection.
Protéger les cookies de navigateurs utilisés pour la connexion MFA. Ce paramètre empêche les applications non autorisés de déchiffrer la clé AES utilisée pour chiffrer les cookies d’authentification multifacteur (MFA).
Empêcher l’utilisation malveillante des instructions syscall. Ce paramètre bloque les tentatives d’échapper à la surveillance par des appels directs aux API système.
Empêcher les abus de point d’arrêt matériel. Ce paramètre empêche l’utilisation abusive des points d’arrêt matériels.
Remarque
Ce paramètre s’applique uniquement aux terminaux que vous ajoutez au programme d’accès anticipé « Nouvelles fonctions Endpoint et Server Protection ».
Protéger le trafic réseau
- Détecter les connexions malveillantes vers des serveurs de commande et de contrôle. Cette option permet de détecter le trafic entre un ordinateur et un serveur qui pourrait indiquer une tentative éventuelle de prise de contrôle du terminal.
- Empêcher le trafic réseau malveillant avec l’inspection des paquets (IPS). Cette option contrôle le trafic au niveau le plus bas et bloque les menaces avant qu’elles ne puissent endommager le système d’exploitation ou les applications. Cette option est désactivée par défaut.
Détections à l’exécution (runtime) Linux. Ce paramètre vous permet de bénéficier de la visibilité à l’exécution et de la détection des menaces pour les charges de travail et les conteneurs de serveurs Linux. Vous pouvez gérer ces alertes dans le Centre d’analyse des menaces. Voir Détections.
Restriction
Pour pouvoir utiliser les détections runtime Linux, vous devez disposer d’une licence appropriée. Voir Stratégie de détection runtime Linux pour serveur.
Empêcher les balises malveillantes de se connecter aux serveurs de commande et de contrôle. Ce paramètre identifie et bloque les balises qui tentent d’échapper à la détection en restant chiffrées.
Surveiller l’utilisation des API des pilotes. Ce paramètre détecte les tentatives d’utilisation abusive des API normalement utilisées par des applications légitimes telles que des imprimantes ou des cartes réseau virtuelles pour interagir avec le code en mode noyau.
Détecter les comportements malveillants. Ce paramètre permet d’assurer la protection contre les menaces encore inconnues. Il détecte et bloque les comportements malveillants ou suspects.
Protection AMSI. Ce paramètre assure la protection contre le code malveillant (par exemple, les scripts PowerShell) à l’aide de l’interface AMSI (Antimalware Scan Interface).
Le code transmis via AMSI est contrôlé avant son exécution. Le terminal informe les applications utilisées pour exécuter le code de la présence d’une menace. Si une menace est détectée, un événement est consigné dans le journal.
Empêcher la suppression de l’enregistrement AMSI. Ce paramètre permet de s’assurer qu’AMSI ne peut pas être supprimé de vos ordinateurs.
Activer Sophos Security Heartbeat : Ce paramètre envoie des rapports sur l’état d’intégrité à chaque Sophos Firewall enregistré sous votre compte Sophos Central. Si plusieurs pare-feu sont enregistrés, les rapports sont envoyés au pare-feu le plus proche. Si un rapport indique qu’un serveur est peut-être compromis, le pare-feu limite son accès.
Protection adaptative contre les attaques
Activer automatiquement les protections supplémentaires lors de l’attaque d’un appareil. Ce paramètre active un ensemble de protection plus agressif lorsqu’une attaque est détectée. Ces niveaux de protection supplémentaires sont conçus pour perturber les actions d’un cybercriminel.
Vous pouvez également activer de manière permanente les fonctions de Protection adaptative contre les attaques.
- Activer la protection en mode sans échec. Ce paramètre active la protection Sophos lorsque les appareils fonctionnent en mode sans échec. Certains composants et fonctions, tels que le Relais de messagerie et le Cache de mise à jour, ne sont pas disponibles en mode sans échec.
- Bloquer l’utilisation abusive du mode sans échec. Ce paramètre détecte et bloque les activités indiquant qu’un cybercriminel tente de mettre l’appareil en mode sans échec.
Déchiffrement SSL/TLS de sites Web HTTPS
Si vous sélectionnez Déchiffrer les sites Web HTTPS avec SSL/TLS, nous déchiffrons et vérifions le contenu des sites Web HTTPS à la recherche de menaces.
Si nous déchiffrons un site Web dangereux, nous le bloquons. Nous affichons un message à l’utilisateur pour lui donner la possibilité d’envoyer le site aux SophosLabs pour réévaluation.
Par défaut, le déchiffrement est désactivé.
Remarque
Si le déchiffrement est activé dans la stratégie de Protection contre les menaces appliquée à un appareil, il est également utilisé pour les vérifications de contrôle Web sur le même appareil.
Contrôle en temps réel pour Linux
Si vous sélectionnez Activer le contrôle pour Server Protection for Linux Agent, nous contrôlons les fichiers pendant que les utilisateurs tentent d'y accéder. Nous autorisons l’accès si le fichier est sain.
Par défaut, le contrôle en temps réel pour Linux est désactivé.
Contrôle planifié
Le contrôle planifié procède au contrôle à l’heure ou aux heures que vous avez indiquées.
Le contrôle planifié est une ancienne technique de détection des malwares. Il est rarement utilisé à présent que nous offrons le contrôle en arrière-plan. Son utilisation est susceptible de faire augmenter la charge du système et ralentir considérablement le contrôle. Nous vous recommandons de ne pas utiliser le contrôle planifié, sauf en cas de besoin spécifique.
Vous pouvez sélectionner ces options :
-
Activer le contrôle planifié. Cette option vous permet de programmer une heure et un ou plusieurs jours pour le contrôle.
L’heure du contrôle planifié correspond à l’heure des terminaux (il ne s’agit pas de l’heure UTC).
-
Activer le contrôle en profondeur. Si vous sélectionnez cette option, les archives sont contrôlées pendant les contrôles planifiés. Cette option augmente la charge de travail du système et ralentit considérablement le contrôle.
Exclusions du contrôle
Certaines applications sont automatiquement exclues du contrôle en temps réel. Voir Exclusions automatiques.
Vous pouvez également exclure d’autres éléments ou d’autres applications du contrôle. Vous pourriez vouloir le faire car une application de base de données a accès à de nombreux fichiers et déclenche de trop nombreux contrôles qui affectent les performances d’un serveur.
Pour créer des exclusions pour une application, vous pouvez utiliser l’option d’exclusion de processus en cours d’exécution à partir de cette application. Cette opération est beaucoup plus sûre que l’exclusion de fichiers ou de dossiers.
Nous continuerons à vérifier toute présence de failles d’exploitation dans les éléments exclus. Toutefois, vous pouvez arrêter la vérification d’une faille d’exploitation qui a déjà été détectée en utilisant l’exclusion Exploits détectés.
Les exclusions définies dans une stratégie concernent uniquement les serveurs auxquels s’applique la stratégie.
Pour appliquer des exclusions à tous vos utilisateurs et serveurs, veuillez configurer des exclusions générales sur la page Mes produits > Paramètres généraux > Exclusions générales.
Retrouvez de l’aide sur l’utilisation des exclusions sur Utilisation des exclusions en toute sécurité.
Pour créer une stratégie d’exclusion du contrôle :
-
Cliquez sur Ajouter une exclusion (dans le coin supérieur droit de la page).
La boîte de dialogue Ajouter une exclusion apparaît.
-
Dans la liste déroulante Type d’exclusion, sélectionnez un type d’élément à exclure (fichier ou dossier, processus, site Web, application potentiellement indésirable).
-
Indiquez un ou plusieurs éléments à exclure. Les règles suivantes s’appliquent :
-
Fichier ou dossier (Windows). Sur Windows, vous pouvez exclure le chemin complet vers un lecteur, un dossier ou un fichier. Vous pouvez utiliser les caractères de remplacement et les variables. Exemples :
- Dossier :
C:\programdata\adobe\photoshop\
(ajoutez une barre oblique pour un dossier) - Lecteur complet :
D:
- Fichier :
C:\program files\program\*.vmg
- Dossier :
-
Fichier ou dossier (Linux). Sur Linux, vous pouvez exclure un dossier ou un fichier. Vous pouvez utiliser les caractères de remplacement ? et *. Exemple :
/mnt/hgfs/excluded
. -
Processus (Windows). Vous pouvez exclure tous les processus exécutés à partir d’une application. Cette opération exclut également les fichiers que le processus utilise (uniquement lorsque ce processus y accède). Si possible, saisissez le chemin complet vers l’application, et pas seulement le nom du processus affiché dans le Gestionnaire des tâches. Exemple :
%PROGRAMFILES%\Microsoft Office\Office 14\Outlook.exe
Remarque
Retrouvez plus de renseignements sur tous les processus ou autres éléments que vous avez besoin d’exclure pour une application dans le documentation de l’éditeur de l’application.
Remarque
Vous pouvez utiliser les caractères de remplacement et les variables.
-
Site Web (Windows). Vous pouvez indiquer l’adresse IP, la plage d’adresses IP (« notation CIDR » ou Classless Inter-Domain Routing) ou le domaine des sites Web. Exemples :
- Adresse IP : 192.168.0.1
- Plage d’adresses IP : 192.168.0.0/24 où /24 correspond au nombre de bits dans le préfixe commun à toutes les adresses IP de cette plage. Ici, /24 correspond au masque réseau 11111111.11111111.11111111.00000000. Dans notre exemple, la plage inclut toutes les adresses IP commençant par 192.168.0.
- Domaine :
google.com
Si vous excluez un site Web, nous ne contrôlons pas la catégorie du site Web et il est exclu de la protection du contrôle Web. Voir Stratégie de contrôle du Web pour serveur.
-
Application potentiellement indésirable (Windows/Mac/Linux). Vous pouvez exclure les applications généralement détectées comme spyware. Indiquez l’exclusion en utilisant le même nom que celui sous lequel le système l’a détecté, par exemple « PsExec » ou « Cain n Abel ». Retrouvez plus de renseignements sur les applications potentiellement indésirables (PUA) dans le Centre d’analyse des menaces de Sophos.
Procédez avec prudence avant d’ajouter des exclusions de PUA car cette opération peut affaiblir votre niveau de protection.
-
Exploits détectés (Windows/Mac). Vous pouvez exclure un Exploit qui a déjà été détecté. Nous ne le détecterons plus pour l’application concernée et ne bloquerons plus cette application.
Vous pouvez également exclure les exploits détectés à l’aide d’un ID de détection. Vous pouvez utiliser cette option si vous travaillez avec le support Sophos pour résoudre une détection de faux positifs. Le support Sophos peut vous donner un ID de détection et vous pouvez alors exclure la détection de faux positifs. Pour ce faire, cliquez sur L’Exploit n’est pas dans la liste ? et saisissez l’ID.
Remarque
La protection CryptoGuard contre les ransomware (rançongiciels) sera désactivée pour cet Exploit de l’application affecté sur vos serveurs Windows.
-
Protection AMSI (Windows). Sur Windows, vous pouvez exclure le chemin complet vers un lecteur, un dossier ou un fichier. Nous ne contrôlons pas le code à cet emplacement. Vous pouvez utiliser le caractère de remplacement * pour le nom ou l’extension de fichier. Voir Antimalware Scan Interface (AMSI).
-
Isolement du serveur (Windows). L’isolement de l’appareil (par un administrateur) est disponible pour les serveurs si vous êtes inscrit au Programme à accès anticipé (EAP) pour Intercept X Advanced for Server with XDR.
Vous pouvez autoriser les appareils isolés à avoir des communications limitées avec les autres ordinateurs.
Choisissez si les appareils isolés utiliseront les communications sortantes ou entrantes ou les deux.
Limitez ces communications avec un ou plusieurs des paramètres suivants :
- Port local : Les appareils peuvent utiliser ce port sur les ordinateurs isolés.
- Port distant : Les appareils isolés peuvent utiliser ce port sur tous les ordinateurs.
- Adresse distante : Les appareils isolés peuvent uniquement communiquer avec l’appareil utilisant cette adresse IP.
Exemple 1 : Vous voulez l’accès au Bureau à distance sur un appareil isolé afin de pouvoir résoudre des problèmes sur cet appareil.
- Sélectionnez Connexion entrante.
- Dans Port local, saisissez le numéro du port.
Exemple 2 : Vous voulez vous rendre sur un appareil isolé et de télécharger des outils de nettoyage à partir d’un serveur.
- Sélectionnez Connexion sortante.
- Dans Adresse distante, saisissez l’adresse du serveur.
-
-
Dans le cas d’exclusions de Fichier ou dossier uniquement, dans la liste déroulante Activer pour, indiquez si l’exclusion s’applique au contrôle en temps réel, au contrôle planifié ou aux deux.
- Cliquez sur Ajouter ou sur Ajouter une autre. L’exclusion est ajoutée dans la liste des exclusions du contrôle.
Pour modifier une exclusion ultérieurement, cliquez sur son nom dans la liste des exclusions, saisissez les nouveaux paramètres et cliquez sur Mettre à jour.
Retrouvez plus de renseignements sur les exclusions que vous pouvez utiliser en consultant :
Exclusions de la prévention des Exploits
Vous pouvez exclure des applications de la protection contre les Exploits de sécurité. Par exemple, vous pourriez vouloir exclure une application qui n’a pas été détecté correctement en tant que menace jusqu’à ce que le problème soit résolu.
L’ajout d’exclusions réduit votre protection.
L’ajout d’exclusions à l’aide de l’option globale Paramètres généraux > Exclusions générales, crée des exclusions qui s’appliquent à tous les utilisateurs et appareils.
Nous vous recommandons d’utiliser cette option et d’assigner la stratégie contenant l’exclusion uniquement aux serveurs pour lesquels l’exclusion est nécessaire.
Remarque
Vous pouvez uniquement créer des exclusions pour les applications Windows.
Pour créer une exclusion de la stratégie de prévention des Exploits, procédez comme suit :
-
Cliquez sur Ajouter une exclusion (dans le coin supérieur droit de la page).
La boîte de dialogue Ajouter une exclusion apparaît.
-
Dans Type d’exclusion, sélectionnez Atténuation des exploits et surveillance des activités (Windows).
La liste des applications protégées sur votre réseau s’affiche.
-
Sélectionnez l’application à exclure.
- Si vous ne voyez pas l’application souhaitée, cliquez sur L’application n’est pas dans la liste ?. Vous pouvez désormais exclure votre application de la protection en saisissant son chemin d’accès au fichier. Vous pouvez aussi utiliser les autres variables ci-dessous :
-
Sous Préventions, choisissez parmi les options suivantes :
- Désactivez Protéger l’application. L’application sélectionnée n’est pas vérifiée pour les Exploits.
- Gardez Protéger l’application activé et sélectionnez les types d’Exploit qui seront contrôlés ou exclus.
-
Cliquez sur Ajouter ou sur Ajouter une autre. L’exclusion s’applique uniquement aux serveurs auxquels vous assignez cette stratégie.
Pour modifier une exclusion ultérieurement, cliquez sur son nom dans la liste des exclusions, saisissez les nouveaux paramètres et cliquez sur Mettre à jour.
Remarque
Si vous excluez un site Web, nous ne contrôlons pas la catégorie du site Web et il est exclu de la protection du contrôle Web. Voir Stratégie de contrôle du Web pour serveur.
Retrouvez plus d’aide sur les exclusions de la prévention des Exploits ci-dessous :
- Exclusions de la prévention des Exploits
- Prévention des Exploits ou ransomware : caractères de remplacement et variables
Exclusions de la protection antiransomware
Vous pouvez exclure les applications ou les dossiers utilisés par les applications de la protection antiransomware.
Vous pourriez avoir besoin d’exclure une application que nous avons détectée incorrectement comme une menace ou une application incompatible avec la protection antiransomware. Par exemple, si vous utilisez une application qui chiffre les données, vous pourriez avoir besoin de l’exclure. Cela nous empêche de détecter l’application en tant que ransomware.
Vous pourriez également avoir besoin d’exclure les dossiers utilisés par des applications spécifiques qui présentent des problèmes de performances lorsqu’elles sont surveillées par la protection antiransomware. Par exemple, vous pourriez avoir besoin d’exclure les dossiers utilisés par les applications de sauvegarde.
L’ajout d’exclusions réduit votre protection.
L’ajout d’exclusions à l’aide de l’option globale Paramètres généraux > Exclusions générales, crée des exclusions qui s’appliquent à tous les serveurs.
Nous vous recommandons d’ajouter des exclusions dans une stratégie et de l’assigner uniquement aux utilisateurs et appareils pour lesquels les exclusions sont nécessaires.
Pour créer une exclusion de la stratégie de protection antiransomware, procédez comme suit :
-
Cliquez sur Ajouter une exclusion (dans le coin supérieur droit de la page).
La boîte de dialogue Ajouter une exclusion apparaît.
-
Dans Type d’exclusion, sélectionnez Protection antiransomware (Windows).
-
Choisissez si vous souhaitez exclure un processus ou un dossier.
Choisissez Processus pour exclure une application.
-
Dans VALEUR, saisissez le chemin du processus ou du dossier à exclure.
Vous pouvez uniquement exclure un dossier par son chemin local. Vous ne pouvez pas l’exclure par son chemin distant au format UNC, par exemple
\\servername\shared-folder
.Vous pouvez utiliser des variables lorsque vous excluez des processus ou des dossiers. Voir Prévention des Exploits ou ransomware : caractères de remplacement et variables.
-
Cliquez sur Ajouter ou sur Ajouter une autre. L’exclusion s’applique uniquement aux serveurs auxquels vous assignez cette stratégie.
Pour modifier une exclusion ultérieurement, cliquez sur son nom dans la liste des exclusions, saisissez les nouveaux paramètres et cliquez sur Mettre à jour.
Messagerie de bureau
La Messagerie de bureau vous envoie des notifications sur les événements de protection contre les menaces. Il est activé par défaut.
Vous pouvez saisir votre propre message à la fin des notifications prédéfinies afin de les personnaliser.